WINMITE.10 — опасная хакерская программа

«WINMITE.10» (он же: «Backdoor.WindowsMite», «BackDoor-EB» или «Windows Mite Server») — троянский конь, позволяющий злоумышленнику получать удаленный доступ на инфицированный компьютер и выполнять на нем различные действия. Позволяет просматривать содержимое дисков пораженного компьютера, копировать (воровать) файлы, уничтожать информацию и т.д. Троянец маскируется под специальную стандартную программу «Windows Registry Checker tool» (Scanreg.exe). Эта программа включена в стандартную установку Windows 98/Me и служит для проверки и восстановления системных файлов и системного реестра Windows.

Троянец, после выполнения на зараженном компьютере его серверной компоненты, перезаписывает оригинальный Windows Registry Checker своей копией — SCANREGW.EXE. Кроме того, модифицирует системный реестр, добавляя в него свои ключи:

HKEY_LOCAL_MACHINESoftwareMicrosoft
DirectOpenGLDirectX=dword:00000000

HKEY_LOCAL_MACHINESoftwareMicrosoftDirectOpenGL
SettingsAPPID=dword:0000fffa

Затем троянец остается резидентным в памяти Windows и продолжает работать в фоновом режиме, как сервис, оставаясь невидимым в списке задач и загружаясь каждый раз при старте системы.

Клиентская часть троянца позволяет удаленному хакеру с помощью специального интерфейса контролировать зараженный компьютер (на котором установлена серверная компонента троянца). Получив доступ к зараженной машине злоумышленник может выполнять на нем следующие действия:

• закрывать/удалять серверную компоненту
• закачивать/скачивать/удалять файлы
• просматривать директории
• получать значение системного времени
• получать ICQ UIN
• открывать/закрывать CD-ROM
• отключать/включать системное меню
• делать Logoff/shutdown/restart
• скрывать/показывать/удалять панель задач
• отключать/включать мышь
• отключать/включать монитор
• получать имена пользователей
• удалять системные файлы Windows, такие как: win.com, user.dat, system.dat
• уничтожить систему
• получать список паролей